Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Cuotas

Cloud de Confiance by S3NS aplica cuotas al uso de recursos. En el caso de Cloud KMS, se aplican al uso de recursos como claves, conjuntos de claves, versiones de claves y ubicaciones. Para obtener información sobre cómo gestionar o aumentar tus cuotas, consulta Monitorizar y ajustar las cuotas de Cloud KMS.

Ver las cuotas de Cloud KMS

Las cuotas no tienen en cuenta la cantidad de recursos KeyRing, CryptoKey o CryptoKeyVersion, solo el número de operaciones.

Algunas cuotas de estas operaciones se aplican al proyecto que llama, es decir, al Cloud de Confiance proyecto que realiza llamadas al servicio Cloud KMS. Se aplican otras cuotas al proyecto de alojamiento, es decir, al Cloud de Confiance proyecto que contiene las claves usadas en la operación.

Las cuotas de proyectos de llamada no incluyen el uso generado por los Cloud de Confiance servicios que usan claves de Cloud KMS para la integración de claves de encriptado gestionadas por el cliente (CMEK). Por ejemplo, las solicitudes de cifrado y descifrado que proceden directamente de BigQuery, Bigtable o Spanner no contribuyen a las cuotas de solicitudes criptográficas.

En la consola Cloud de Confiance se indica el límite de cada cuota en consultas por minuto (QPM), pero las cuotas de los proyectos de alojamiento se aplican por segundo. Las cuotas que se aplican en consultas por segundo (CPS) deniegan las solicitudes que superan el límite de CPS, aunque el uso por minuto sea inferior al límite de CPM indicado. Si superas un límite de CPS, recibirás un error RESOURCE_EXHAUSTED.

Cuotas sobre el uso de recursos de Cloud KMS

En la siguiente tabla se enumeran las cuotas aplicadas a los recursos de Cloud KMS. En la tabla se indica el nombre y el límite de cada cuota, el proyecto al que se aplica y las operaciones que se tienen en cuenta para la cuota. Puedes introducir una palabra clave en el campo para filtrar la tabla. Por ejemplo, puedes introducir calling para ver solo las cuotas aplicadas al proyecto de llamadas o encrypt para ver solo las cuotas relacionadas con las operaciones de cifrado:

Cuota	Proyecto	Límite	Recursos y operaciones
Leer solicitudes `cloudkms.googleapis.com/read_requests`	Proyecto de llamadas	300 QPM	cryptoKeys: get, getIamPolicy, list, testIamPermissions cryptoKeyVersions: get, list ekmConnections: get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs: get, getIamPolicy, list, testIamPermissions keyRings: get, getIamPolicy, list, testIamPermissions locations: get, list Exentas: operaciones de la consola Cloud de Confiance
Solicitudes de escritura `cloudkms.googleapis.com/write_requests`	Proyecto de llamadas	60 QPM	cryptoKeys: create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions create, destroy, import, patch, restore ekmConnections: create, patch, setIamPolicy importJobs: create, setIamPolicy keyRings: create, setIamPolicy Exentas: operaciones de la consola Cloud de Confiance
Solicitudes criptográficas `cloudkms.googleapis.com/crypto_requests`	Proyecto de llamadas	60.000 QPM	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations: generateRandomBytes Exentas: operaciones de integraciones de CMEK.
Solicitudes de cifrado simétrico de HSM por región `cloudkms.googleapis.com/hsm_symmetric_requests`	Proyecto de alojamiento	500 CPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Solicitudes de cifrado asimétrico de HSM por región `cloudkms.googleapis.com/hsm_asymmetric_requests`	Proyecto de alojamiento	50 CPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
Solicitudes aleatorias generadas por HSM por región `cloudkms.googleapis.com/hsm_generate_random_requests`	Proyecto de alojamiento	50 CPS	locations: generateRandomBytes
Solicitudes criptográficas externas por región `cloudkms.googleapis.com/external_kms_requests`	Proyecto de alojamiento	100 CPS	cryptoKeys: encrypt, decrypt cryptoKeyVersions: asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Ejemplos de cuotas

En las siguientes secciones se incluyen ejemplos de cada cuota con los siguientes proyectos de ejemplo:

KEY_PROJECT - Un proyecto que contiene claves de Cloud KMS, incluidas las claves de Cloud HSM multitenant y de Cloud EKM. Cloud de Confiance
SPANNER_PROJECT: proyecto A Cloud de Confiance que contiene una instancia de Spanner que usa las claves de cifrado gestionadas por el cliente (CMEKs) que residen en KEY_PROJECT.
SERVICE_PROJECT: Cloud de Confiance proyecto que contiene una cuenta de servicio que se usa para gestionar recursos de Cloud KMS que residen en KEY_PROJECT.

Solicitudes de lectura

La cuota Solicitudes de lectura limita las solicitudes de lectura delCloud de Confiance proyecto que llama a la API de Cloud KMS. Por ejemplo, ver una lista de claves en KEY_PROJECT desde KEY_PROJECT con Google Cloud CLI se contabiliza en la cuota KEY_PROJECT Solicitudes de lectura. Si usas una cuenta de servicio en SERVICE_PROJECT para ver tu lista de claves, la solicitud de lectura se contabiliza en la cuota Solicitudes de lectura de SERVICE_PROJECT.

Usar la consola para ver recursos de Cloud KMS no afecta a la cuota de solicitudes de lectura. Cloud de Confiance

Solicitudes de escritura

La cuota Solicitudes de escritura limita las solicitudes de escritura delCloud de Confiance proyecto que llama a la API de Cloud KMS. Por ejemplo, crear claves en KEY_PROJECT con gcloud CLI cuenta para la cuota de solicitudes de escritura de KEY_PROJECT. Si usas una cuenta de servicio en SERVICE_PROJECT para crear claves, la solicitud de escritura se contabiliza en la cuota de solicitudes de escritura de SERVICE_PROJECT.

Usar la consola para crear o gestionar recursos de Cloud KMS no afecta a la cuota de solicitudes de lectura. Cloud de Confiance

Solicitudes criptográficas

La cuota Solicitudes criptográficas limita las operaciones criptográficas delCloud de Confiance proyecto que llama a la API Cloud KMS. Por ejemplo, si encriptas datos mediante llamadas a la API desde un recurso de cuenta de servicio que se ejecuta en SERVICE_PROJECT con claves de KEY_PROJECT, se contabilizará en la cuota de solicitudes criptográficas de SERVICE_PROJECT.

El cifrado y descifrado de datos en un recurso de Spanner en SPANNER_PROJECT mediante la integración de CMEK no se tiene en cuenta en la cuota de solicitudes criptográficas de SPANNER_PROJECT.

Solicitudes criptográficas simétricas de HSM por región

La cuota de solicitudes criptográficas simétricas de HSM por región limita las operaciones criptográficas que usan claves simétricas de Cloud HSM en el Cloud de Confiance proyecto que contiene esas claves. Por ejemplo, el cifrado de datos en un recurso de Spanner con claves simétricas de HSM se contabiliza en la cuota de KEY_PROJECT solicitudes criptográficas simétricas de HSM por región .

Solicitudes criptográficas asimétricas de HSM por región

La cuota de solicitudes criptográficas asimétricas de HSM por región limita las operaciones criptográficas que usan claves asimétricas de Cloud HSM en el Cloud de Confianceproyecto que contiene esas claves. Por ejemplo, si se cifran datos en un recurso de Spanner con claves de HSM asimétricas, se contabilizará en la cuota de KEY_PROJECT solicitudes criptográficas asimétricas de HSM por región.

Solicitudes de generación aleatoria de HSM por región

La cuota de solicitudes de generación aleatoria de HSM por región limita las operaciones de generación de bytes aleatorios mediante Cloud HSM en el Cloud de Confiance proyecto especificado en el mensaje de solicitud. Por ejemplo, las solicitudes de cualquier fuente para generar bytes aleatorios en KEY_PROJECT cuentan para la cuota de KEY_PROJECT solicitudes de generación aleatoria de HSM por región.

Solicitudes criptográficas externas por región

La cuota Solicitudes criptográficas externas por región limita las operaciones criptográficas que usan claves externas (Cloud EKM) en el Cloud de Confiance proyecto que contiene esas claves. Por ejemplo, encriptar datos en un recurso de Spanner con claves de EKM se contabiliza en la cuota KEY_PROJECT Solicitudes criptográficas externas por región.

Información sobre los errores de cuota

Si haces una solicitud después de alcanzar tu cuota, la solicitud devolverá un error RESOURCE_EXHAUSTED cuyo código de estado HTTP es 429. Para obtener más información sobre cómo muestran el error RESOURCE_EXHAUSTED las bibliotecas de cliente, consulta la sección sobre la asignación de bibliotecas de cliente.

Si recibes el error RESOURCE_EXHAUSTED, puede que estés enviando demasiadas solicitudes de operaciones criptográficas por segundo. Puede recibir el error RESOURCE_EXHAUSTED aunque la consola Cloud de Confiance muestre que no ha superado el límite de consultas por minuto. Este problema puede deberse a que las cuotas del proyecto de alojamiento de Cloud KMS se muestran por minuto, pero se aplican a escala de segundos. Para obtener más información sobre la monitorización de métricas, consulte Configurar alertas y monitorización de cuotas.

Para obtener más información sobre cómo solucionar problemas de cuota de Cloud KMS, consulta el artículo Solucionar problemas de cuota.

Siguientes pasos

Consulta información sobre cómo usar Cloud Monitoring con Cloud KMS.
Consulta cómo monitorizar y ajustar las cuotas de Cloud KMS.